Abo
  • Services:
Anzeige
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Project-Zero-Fristen: Google gewährt 14-Tage-Bonus für besondere Sicherheitslücken

Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken.
Softwarehersteller bekommen unter Umständen mehr Zeit zum Beseitigen von Sicherheitslücken. (Bild: Google Project Zero)

Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.

Google wird seine Regeln zur Veröffentlichung von Sicherheitslücken anpassen, wie das Unternehmen in dem Blog von Project Zero ankündigt. Für seine bisherige Politik hat Google einige Kritik einstecken müssen. So veröffentlichte Google beispielsweise vollständige Details zu gefährlichen Sicherheitslücken in OS X und in Windows. Die entdeckten Sicherheitslücken hatte Google den beiden Unternehmen gemeldet und ihnen 90 Tage Zeit gelassen, um sie zu beseitigen.

Anzeige

In der Zwischenzeit hätten auch andere Entdecker - sollte es sie gegeben haben - die Sicherheitslücken ausnutzen können. Die Windows-Sicherheitslücke gehörte zu einer Klasse der unangenehmsten Fehler für Anwender. Es ließen sich nämlich höhere Rechte erschleichen, was das Sicherheitskonzept vieler Unternehmen und Anwender außer Betrieb setzt, die korrekterweise nur mit Standardrechten arbeiten. Die Sicherheitslücke in Apples Betriebssystem war ähnlich gravierend, da mit einem Angriff Root-Rechte erschlichen werden konnten. Die Details zu beiden Problemen hielt Googles Project Zero für 90 Tage geheim.

Responsible Disclosure setzt Entwickler unter Druck

Mit dieser sogenannten Responsible Disclosure soll den betroffenen Unternehmen Zeit zur Entwicklung eines funktionstüchtigen Patches gegeben werden. Sie soll sie aber gleichzeitig aufgrund der drohenden Veröffentlichung zum Handeln zwingen. Dieser Zwang hilft der Produktsicherheit, wie Project Zero nach Untersuchung der eigenen Statistiken meint. Microsoft beschwerte sich daraufhin über die Sturheit von Google, da das Unternehmen die Sicherheitspatches eigentlich erst einen Monat später veröffentlichen wollte. Microsoft bat zumindest um zusätzliche zwei Tage, die jedoch nicht gewährt wurden.

In Zukunft will Google solche Fristverlängerungen mit verschiedenen Optionen ermöglichen. Eine dieser Optionen ist leicht nachvollziehbar. Fällt die Frist auf ein Wochenende oder einen Feiertag in den USA, wird Google die Sicherheitslücke erst am nächsten Werktag publizieren. Die zweite Option setzt allerdings voraus, dass der Hersteller der betroffenen Software mit Google kommuniziert. Ist ein Patch beispielsweise bereits für einen kommenden Patchday geplant, der innerhalb von 14 Tagen nach Ablauf der eigentlichen 90-Tage-Frist stattfindet, gibt es einen Bonus von bis zu 14 Tagen. Dann werden die Details zur Sicherheitslücke weiter geheimgehalten. Nur sehr außergewöhnliche Umstände sollen hier noch eine weitere Verschiebung ermöglichen. Wie diese aussehen, verrät Google nicht.

Sonderbehandlungen soll es für einzelne Hersteller nicht geben. Google bleibt dabei, dass diese Fristen für alle Hersteller von Software gleich bleiben. Das heißt, Google berücksichtigt beispielsweise nicht den Marktanteil einer von Sicherheitslücken betroffenen Software und hält so weiter den Druck aufrecht. Die Regel soll auch für eigene Produkte gelten, wie Google angibt.

In der Regel reicht die 90-Tage-Frist für die Beseitigung von Sicherheitslücken. So hat es Adobe laut Project Zero geschafft, alle 37 gemeldeten Sicherheitslücken innerhalb dieser Frist zu beseitigen. Wenn die Lücken also korrekt gemeldet werden, ist Adobe zuverlässig dabei, seine Flash-Plattform zu sichern. Problematisch sind bei Adobe allerdings die in den letzten Wochen durch Kriminelle zuerst entdeckten Sicherheitslücken, auf die auch Adobe nur hastig reagieren kann. Die Sicherheitslücken müssen dann mitunter über mehrere Tage hingenommen werden. Anwender von Adobes Flash wurden dieses Jahr bereits drei Mal von solchen Sicherheitslücken überrascht, die außerhalb eines Patchtages abgesichert werden mussten.


eye home zur Startseite
heubergen 18. Sep 2015

Es ist schlimmer, bei Apple weiss es wenigstens jeder zum vorherein. Google aber tut...

__destruct() 16. Feb 2015

Interessiert nicht. In der aktuellen Software ist der Fehler nicht drin.

Sea 16. Feb 2015

So ein blödsinn da. Das ist echt Googlebashing auf unterstem Niveau. Irgendeinen Mist...

Dwalinn 16. Feb 2015

Es heißt bis zu 14 Tage. Wenn also die 90 Tage an einen Donnerstag auslaufen hat...

Lala Satalin... 15. Feb 2015

Mein erster Gedanke war tatsächlich der, der im Artikel steht. Wenn man die Vorgeschichte...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. AKDB, München, Nürnberg
  3. Zurich Gruppe Deutschland, Köln, Bonn
  4. Adam Riese GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 37,49€
  2. 999,00€
  3. (u. a. Gehäuse, Tastaturen, Mäuse, Netzteile, Headsets, Wakü)

Folgen Sie uns
       


  1. Desktop-Modi im Vergleich

    Fast ein PC für die Hosentasche

  2. Android 8.0

    Samsung verteilt Oreo-Upgrade wieder für Galaxy S8

  3. Bilanzpressekonferenz

    Telekom bestätigt Super-Vectoring für dieses Jahr

  4. Honorbuddy

    Bossland muss keine Millionen an Blizzard zahlen

  5. Soziale Netzwerke

    Twitter sperrt Tausende verdächtige Accounts

  6. Qualcomm

    802.11ax-WLAN kann bald in Smartphones kommen

  7. Synthesizer IIIp

    Moog legt Synthie-Klassiker für 35.000 US-Dollar wieder auf

  8. My Playstation

    Sony überarbeitet sein soziales PS-Ökosystem

  9. Android

    Samsung fehlt bei Googles Empfehlungen für Unternehmen

  10. Cat S61 im Hands on

    Smartphone kann Luftreinheit und Entfernungen messen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Wo ist da der Sinn?

    dabbes | 12:08

  2. Re: Kurzfristig...

    Azzuro | 12:07

  3. Re: Ach die haben einen Double Fine gemacht.

    mnementh | 12:04

  4. Re: und Kühlaggregat im Hochsommer?

    DeathMD | 12:03

  5. Re: nie in einem vertrag

    Niaxa | 12:02


  1. 12:07

  2. 12:05

  3. 12:01

  4. 11:50

  5. 11:44

  6. 11:29

  7. 11:14

  8. 10:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel